আমি একটি সিকিউরিটি স্ক্যানার দিয়ে ৫টি রিয়েল অ্যাপ স্ক্যান করেছি
আমি AI-জেনারেটেড কোড স্ক্যান করার জন্য VibeSafe তৈরি করেছি। আমি এটি Vibe Coding Showcase-এর ৫টি রিয়েল অ্যাপের ওপর পরীক্ষা করেছি।
ফলাফল খুবই খারাপ।
৫টি অ্যাপেরই সিকিউরিটি সমস্যা ছিল। একটি অ্যাপেরও Content Security Policy ছিল না। আমি মোট ৩৩টি সমস্যা খুঁজে পেয়েছি।
বিস্তারিত বিভাজন:
- ৬টি ক্রিটিক্যাল (Critical) সমস্যা
- ৯টি হাই (High) সমস্যা
- ১৮টি মিডিয়াম (Medium) সমস্যা
অ্যাপগুলোতে আমি যা খুঁজে পেয়েছি:
App 1: Maternal health platform এই অ্যাপটি ডেটা লিক করছে।
- .env ফাইলগুলো পাবলিক। যে কেউ আপনার ক্রেডেনশিয়াল (credentials) নিয়ে নিতে পারে।
- .git ফোল্ডারটি উন্মুক্ত। যে কেউ আপনার সম্পূর্ণ কোড হিস্ট্রি ডাউনলোড করতে পারে।
- কোনো XSS সুরক্ষা নেই।
- লগইনে কোনো রেট লিমিটিং (rate limiting) নেই।
App 2: SMS loyalty platform এটি App 1-এর মতোই একই প্যাটার্ন অনুসরণ করছে।
- পাবলিক .env ফাইল।
- পাবলিক .git ফোল্ডার।
- কোনো সিকিউরিটি হেডার নেই।
- কোনো অথ (auth) সুরক্ষা নেই।
App 3: SaaS platform একজন অভিজ্ঞ CTO এটি তৈরি করলেও এতে কিছু ফাঁকফোকর ছিল।
- .git ফোল্ডারটি লিক হয়েছিল।
- Python ক্যাশ ডিরেক্টরিগুলো পাবলিক ছিল।
- কোনো XSS সুরক্ষা নেই।
App 4: Parenting app এটি এই গ্রুপের মধ্যে সেরা ছিল, তবুও ঝুঁকিপূর্ণ।
- SSL এবং .env ফাইলগুলো নিরাপদ ছিল।
- কোনো XSS সুরক্ষা নেই।
- সাইন-ইনে কোনো রেট লিমিটিং নেই। এটি ব্রুট-ফোর্স (brute-force) অ্যাটাক করার সুযোগ করে দেয়।
App 5: Netlify product
- SSL সার্টিফিকেটটি ইনভ্যালিড (invalid)।
- ব্রাউজারগুলো এই সাইটটিকে অনিরাপদ হিসেবে ব্লক করে দিচ্ছে।
সাধারণ ঝুঁকির সারসংক্ষেপ:
- কোনো Content Security Policy নেই: ১০০% অ্যাপ
- কোনো X-Frame-Options নেই: ১০০% অ্যাপ
- কোনো রেট লিমিটিং নেই: ৮০% অ্যাপ
- .env বা .git ফাইল উন্মুক্ত: ৬০% অ্যাপ
আপনি মাত্র ১৫ মিনিটে এই সমস্যাগুলোর ৯০% সমাধান করতে পারেন।
কীভাবে সমাধান করবেন:
- Content-Security-Policy যোগ করুন: ১ মিনিট
- X-Frame-Options যোগ করুন: ১ মিনিট
- HSTS যোগ করুন: ১ মিনিট
- .env এবং .git ফাইল ব্লক করুন: ১ মিনিট
- রেট লিমিটিং মিডলওয়্যার (middleware) যোগ করুন: ১০ মিনিট
এগুলো কোনো ছোটখাটো পরীক্ষা নয়। এগুলো আসল ব্যবহারকারী থাকা লাইভ প্রোডাক্ট। এগুলো স্বাস্থ্য সংক্রান্ত ডেটা, SMS ডেটা এবং ইউজার অ্যাকাউন্ট পরিচালনা করে। এগুলোর বেশিরভাগই বর্তমানে ডেটা চুরি এবং ক্লিকজ্যাকিং (clickjacking)-এর জন্য ঝুঁকিপূর্ণ।
